Hi,

hier der fix-Log:

Code: Alles auswählenAufklappen

ATTFilter

========== SERVICES/DRIVERS ==========
Service\Driver key xcpip not found.
Service\Driver key xpsec not found.
========== FILES ==========
File\Folder c:\windows\system32\drivers\xpsec.sys not found.
File\Folder c:\windows\system32\drivers\xcpip.sys not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\\3389:TCP deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\\65533:TCP deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\\52344:TCP deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\3389:TCP deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\65533:TCP deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\52344:TCP deleted successfully.
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 10162012_233129
         

und hier combofix ... diesmal ist der laptop beim "Willkommen" Bildschirm von XP eingefroren... 15 Minuten lang tat sich nix... -> Manuelles ausschalten ->Hochfahren, ewig warten... und dann kam folgender Log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-10-16.02 - Sigrid 16.10.2012  23:48:43.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.84 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sigrid\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_xcpip
-------\Service_xpsec
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-09-16 bis 2012-10-16  ))))))))))))))))))))))))))))))
.
.
2012-10-17 03:31 . 2012-10-17 03:31	--------	d-----w-	C:\_OTL
2012-10-16 23:00 . 2012-10-16 23:00	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-30 20:28 . 2006-02-28 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2012-08-30 20:28 . 2006-02-28 12:00	61952	----a-w-	c:\windows\system32\tdc.ocx
2012-08-30 20:28 . 2006-02-28 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2012-08-30 20:26 . 2006-02-28 12:00	371200	----a-w-	c:\windows\system32\html.iec
2012-04-06 14:13 . 2012-03-24 20:44	97208	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-24 126976]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-24 561152]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Sigrid\Startmenü\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.12.2010 14:12 136360]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 PCX504;Cisco Systems Wireless LAN Adapter Driver;c:\windows\system32\drivers\PCX504.sys [04.05.2004 12:35 119296]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - xcpip
*Deregistered* - xpsec
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Sigrid\Anwendungsdaten\Mozilla\Firefox\Profiles\arxt7v7m.default\
FF - prefs.js: network.proxy.type - 2
FF - ExtSQL: !HIDDEN! 2009-09-03 09:46; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-10-17 00:12
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(812)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\System Update\SUService.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-10-17  00:22:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-10-16 22:22
ComboFix2.txt  2012-10-16 14:03
ComboFix3.txt  2012-10-07 17:05
.
Vor Suchlauf: 7 Verzeichnis(se), 31.647.850.496 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 31.641.665.536 Bytes frei
.
- - End Of File - - 01BC7AB307E0757EDE8D70E34504CFEE
         

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Aswmbr nochmal scannen lassen, dann auf Fixmbr klicken. Neustarten, neu scannen lassen und Log posten.

Ich habe während dem scannen folgende Fehlermeldung (Bluescreen) bekommen:

https://docs.google.com/open?id=0B1aHnZdu1F0Zd3hvTHh1M2RYc2c

War während dem ersten Scan....

also bevor du den mbr gefixt hast?

Ja. Noch habe ich nicht mit mbr gefixt

Die telekom hat sich bei mir nochmals gemeldet und mir den Port 25 gesperrt "um mich zu unterstützen..."
Bedeutet ich kann also keine E-Mails mehr senden via Outlook und Co.
Klasse Unterstützung!

Hier die Mail von denen:
vor einiger Zeit haben wir Ihnen bereits über das E-Mail Postfach Ihres
Zugangs (*@t-online.de) mitgeteilt, dass von Ihrem Anschluss
unerwünschte Zugriffe auf fremde Systeme erfolgt sind.

In diesem Zusammenhang haben wir Ihren Internet-Zugang wieder eindeutig
als Quelle identifiziert. Dies ist möglich, da bei jeder Einwahl ins
Internet Ihrem Router eine IP-Adresse zugewiesen wird. Somit lässt sich
die verknüpfte IP-Adresse und der Zeitpunkt der Einwahl eindeutig Ihrer
Zugangsnummer zuordnen:

IP editiert

Daher unsere dringende Bitte: Prüfen Sie unbedingt Ihren Computer, um
die missbräuchliche Nutzung Ihres Zugangs zu unterbinden. Um Sie hierbei
zu unterstützen, haben wir den E-Mail-Verkehr (Port 25) eingeschränkt.
Das bedeutet, dass Sie derzeit über E-Mail-Programme, wie zum Beispiel
Microsoft Outlook zwar weiterhin E-Mails empfangen können, jedoch wurde
der Versand über die Server von Drittanbietern eingeschränkt. Das
Versenden über Ihre *@t-online.de E-Mail Adresse und die Verwendung von
E-Mail Portalen wie beispielsweise unserem E-Mail Center; Link:
https://email.t-online.de sind hiervon nicht betroffen.


erneute Zugriffszeitpunkt war letzten Mittwoch 17.30
Also genau zu dem zeitpunkt wo der infizierte Laptop das erste mal wieder mit dem Internet verbunden war um für aswMBR updates herunterzuladen...

Versuchen wir es mal so:


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.


Nach dem Scan dann Fixmbr klicken. ich hab die IP editiert

So... Hab den Scan durchlaufen lassen.. Oder nennen wir es mal versuchen...

Habe wieder den Bluescreen.
Dieses mal allerdings eine etwas abgeänderte Meldung!

Zitat:

Es wurde ein problem festgestellt. Windows wurder heruntergefahren, damit der Computer nicht beschädigt wird.
Das Problem wurde möglicherweise von der folgenden Datei verursacht: Ntfs.sys

Ein Teil des Treiberabbilds wurde als seitenauslagerungsfähig markiert.

... weiter wie bei der letzen meldung...

technische Informationen:
*** STOP: 0x000000D3 /0xF8431008, 0x0000000D, 0x00000001, 0x806F568A=
Ntfs.sys
Speicherabbild des physischen Speichers wird erstellt.
Abbild des physischen Speichers wurde erstellt.
Wenden Sie sich an den Systemadministrator oder den technischen Support.

Windows Cd zur Hand?

Für Systemreparatur?

Ja hab die CD zur Hand

• Lege die Installations-CD von XP in das CD-Laufwerk ein und starte den Computer neu.
• Startet der Computer nicht über die CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.
• Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.
• Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
• Nun gebe folgenden Befehl ein:
• fixmbr

alles klar,
"Neuer MBR wurde einwandfrei geschrieben"

Ich bin gerade mal in mein Antivir reingegangen... da stehen ganz viele neue Sachen ?!?!

Code: Alles auswählenAufklappen

ATTFilter

Exportierte Ereignisse:

21.10.2012 19:15 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Sigrid\Lokale 
      Einstellungen\temp\_avast4_\unp189284246.tmp'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff erlauben

21.10.2012 19:14 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Sigrid\Lokale 
      Einstellungen\temp\av41.tmp'
      wurde ein Virus oder unerwünschtes Programm 'BOO/TDss.M' [virus] gefunden.
      Ausgeführte Aktion: Zugriff erlauben

21.10.2012 18:53 [Updater] Update nicht ausgeführt
      Das Update von Computer OGV (127.0.0.1) von 
      hxxp://perspeak.avira-update.com/update ist fehlgeschlagen.
      Während des Herunterladens ist ein Fehler aufgetreten
      Es wurden keine neuen Dateien geladen.

20.10.2012 16:41 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Sigrid\Lokale 
      Einstellungen\temp\_avast4_\unp114789953.tmp'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff erlauben

20.10.2012 16:41 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Sigrid\Lokale 
      Einstellungen\temp\av41.tmp'
      wurde ein Virus oder unerwünschtes Programm 'BOO/TDss.M' [virus] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

20.10.2012 16:41 [Guard] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\Sigrid\Lokale 
      Einstellungen\temp\av41.tmp'
      wurde ein Virus oder unerwünschtes Programm 'BOO/TDss.M' [virus] gefunden.
      Ausgeführte Aktion: Zugriff erlauben
         

Hi,

Combofix vom Desktop löschen, neu laden, und nochmal laufen lassen.

Kurze Zwischenfrage: Macht es Sinn die Festplatte nicht einfach zu formatieren und das System komplett neu aufzusetzen?
Wenn ich mir jetzt alle wichtigen Daten auf einen USB Stick ziehe, kann es sein dass ich damit den Virus weiter"verschleppe" ?
Wäre der Virus & Trojaner nach der Formatierung sicher weg?

Wenn Du komplett formatierst ja, da wird auch der MBR erneuert. Daten sichern wäre ich vorsichtig, also bitte keine ausführbaren Dateien sichern. Aber ein letztes frisches Combofix-Logfile würde mich intressieren, nachdem der MBR neu geschrieben wurde.